Más problemas de seguridad en la tierra de Android: de acuerdo con investigadores miles de aplicaciones tendrían serios problemas en cuanto a la forma que implementan SSL/TLS, lo que las haría vulnerables a un tipo de ataque conocido como “persona en medio” que permitiría a su vez que se roben credenciales de bancos, tarjetas de crédito y más información. Para los que no sepan que son, TLS/SSL son protocolos de encriptación que proveen de seguridad en comunicaciones vía Internet. Los investigadores antes mencionados hicieron un estudio detallado de 13,500 de las apps gratuitas más populares en Google Play, tratando de determinar que tan bien estaba su implementación SSL/TLS. Tristemente, el resultado de su investigación fue encontrar más de 1,000 apps con problemas de implementación SSL. Peor aún, los investigadores pudieron obtener datos a través de estas aplicaciones sin problemas: datos como tarjetas de crédito, cuentas de banco, credenciales de PayPal y credenciales de redes sociales. Esto por supuesto que no son buenas noticias para nadie, en particular para los que somos usuarios de Android.
Pero, ¿de quién es la culpa? para ser sincero, SSL no es precisamente lo más fácil de implementar del mundo. Pero también está el tema de los desarrolladores incompetentes, y más aún de porqué Google no ha implementado controles más estrictos en Google Play para tratar de evitar estos problemas. Es decir, investigadores lo pueden hacer, ¿porqué Google no? entre tanto esto se soluciona, los que deseen pueden leer el paper publicado al respecto, donde se indican varias lecciones tanto para desarrolladores, así como para usuarios. Como dije antes, esto sigue una nefasta cadena de problemas de seguridad respecto a los cuales Google no ha hecho gran cosa.
La entrada Miles de aplicaciones en Google Play con problemas de implementación SSL/TLS aparece primero en Consultorio del Dr. Ogalinski.